Ledningssystem för Informationssäkerhet

Transkript

1 Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet

2 Innehåll 1 Inledning Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Utvärdering av prestanda Förbättringar

3 1 Inledning Det övergripande målet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska sträva efter Rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och Styrd säkerhet, dvs. styras och utföras enligt Uppsala universitets ledningssystem för informationssäkerhet, LIS. Universitetets LIS är baserat på svensk standard SS-ISO/IEC 27001:2014 för att därmed kunna uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2016:1. Arbetet med LIS vid Uppsala universitet beskrivs enligt de sju avsnitten i ISO 27001:2014 och omfattas av säkerhetsåtgärder grupperade under fjorton rubriker i ISO 27002:2014: Informationssäkerhetspolicy Organisation av informationssäkerhetsarbetet Personalsäkerhet Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Anskaffning, utveckling och underhåll av system Leverantörsrelationer Hantering av informationssäkerhetsincidenter Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet Efterlevnad 3

4 LIS beskriver säkerhetsmål för vilka en balanserad säkerhetsnivå och lämpliga säkerhetsåtgärder ska planeras, genomföras, följas upp och kontinuerligt förbättras vid behov. Grundläggande för IT- och informationssäkerhetsarbetet är kontinuerlig uppföljning och förbättring, ofta beskrivet genom den s.k. PDCA-cykeln ( Plan-Do-Check-Act ), samt aktiv dialog med ledning och verksamhet. Som stöd i det dagliga arbetet finns policydokument, riktlinjer, rutiner och andra stöddokument inom informationssäkerhet fastställda och publicerade i Medarbetarportalen under Stöd och service Säkerhet Riktlinjer. Nedan presenteras universitetets LIS utifrån de sju avsnitten i ISO 27001: Organisationens förutsättningar Organisationens förutsättningar (förstå organisationen, intressenter och dess förutsättningar, bestämma omfattningen av LIS) Organisationen ska avgöra vilka externa och interna frågor som är relevanta för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten med sitt LIS Det övergripande målet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska sträva efter Rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och Styrd säkerhet, dvs. styras och utföras enligt universitetets LIS. För att säkerställa att universitetets informationsresurser får ett heltäckande och adekvat skydd skall LIS, universitetets ledningssystem för informationssäkerhet, följas. LIS är baserat på svensk standard SS-ISO/IEC för att därmed kunna uppfylla kraven i 4

5 myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1). I styrdokumentet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Informationssäkerhet (UFV 2017/97) anges de säkerhetskrav som ställs på universitetets informationssystem, såväl vid normal verksamhet som i tänkbara krissituationer. Konkretisering av dessa riktlinjer presenteras i ett antal underliggande rutiner och stöddokument som finns i Medarbetarportalen under Stöd och service Säkerhet Riktlinjer. Föreskrifter som berör informationssäkerhet: Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2016:1 Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter, MSBFS 2016:2 3 Ledarskap Ledarskap (Ledarskap och engagemang, policy, befattningar, ansvar) I universitets övergripande styrdokument för informationssäkerhet (ISO 27001:2014 informationssäkerhetspolicy) beskrivs ansvar, roller och omfattning: Rektor har det övergripande ansvaret för säkerheten vid Uppsala universitet. Säkerhetschefen samordnar universitetets säkerhetsarbete samt är stödjande och rådgivande till prefekter/motsvarande. Vid behov rapporterar säkerhetschefen direkt till rektor. Vid varje institution/motsvarande är prefekt/motsvarande ansvarig för säkerheten. Intendenturen bistår prefekter/motsvarande och ansvarar för samordning av säkerhetsarbetet inom intendenturområdet. Varje medarbetare ska aktivt arbeta för ökad säkerhet, samt påpeka brister till överordnad. 4 Planering Planering (Åtgärder för att hantera risker och möjligheter, bedömning och behandling av informationssäkerhetsrisker, informationssäkerhetsmål) Detta processteg innebär att planera för, och följa upp, införandet av LIS, samt löpande förbättringsåtgärder. Planeringen av införandet av LIS ska, liksom löpande säkerhetsförbättringar, vara baserade på anvisningar i Riskhantering av informationssystem (UFV 2015/322), se Medarbetarportalen Stöd och service Säkerhet Informationssäkerhet. 5

6 Riskhantering av universitetets centrala system är en integrerad del av universitetets systemförvaltningsmodell. Detta innebär att varje förvaltningsområde ska genomföra en s.k. nula gesanalys av informationssäkerheten en gång per år. Analysen ligger sedan som underlag för prioriteringar och beslut om förbättringar i förvaltningsplan och budget för nästkommande verksamhetsår. Informationssäkerhetsarbetet har integrerats i det årshjul som anger hur förvaltningsarbetet ska bedrivas, se bild nedan. För kärnverksamheten sker motsvarande genom det årliga arbetet med dels universitetets årliga risk- och sårbarhetsanalys (RSA), dels arbete och uppföljning enligt föreskriften om statliga myndigheters riskhantering och föreskriften om statliga myndigheters informationssäkerhet. Underlaget är avgränsat till frågor kring förebyggande och avhjälpande risk- och skadehantering, samt säkerhetsrelaterade och informationssa kerhetsrelaterade frågor, tillsammans med frågor rörande andra lagrum inom samma eller liknande ämnesområden. Underlaget inhämtas från universitetets alla institutioner, centra, intendenturer och avdelningar på förvaltningen. 5 Stöd Stöd (resurser, kompetens, medvetenhet, kommunikation, information) Säkerhetschefen ansvarar för att aktuell och lättillgänglig information om riktlinjerna för informationssäkerhet finns tillgängliga på universitetets webbplats. Informations- och utbildningsinsatser om informationssäkerhetsarbetet ska kunna erbjudas vid respektive institution/motsvarande. För ytterligare stöd finns möjlighet att kontakta universitetets säkerhetsavdelning. 6

7 Grundläggande utbildningar erbjuds både via lärarledda tillfällen och via internetbaserade kurser. Utöver detta erbjuds målgruppsanpassade kurser och informationsträffar enligt behov och önskemål. Kommunikation med verksamheten sker bland annat via e-postlistor och olika forum för bland annat IT-ansvariga och universitets förvaltningsorganisation. 6 Verksamhet Verksamhet (planering och styrning av verksamheten, samt bedömning och behandling av informationssäkerhetsrisker) Informationssäkerhetskraven identifieras med hjälp av olika åtgärder som t.ex. härledning från författningar och interna regelverk, riskanalyser, analys av incidenter och resultat från genomförda informationsklassificeringar. Rutinerna för riskanalyser av informationssystem (UFV 2015/322), beskriver universitetets process för genomförande av informationsklassificering, konsekvensanalys, riskanalys och nulägesbedömning. Nulägesbedömningen baseras på de 14 avsnitten i ISO som beskriver säkerhetsmål och åtgärder. Stöddokument för momenten finns i Medarbetarportalen under Stöd och service Säkerhet Informationssäkerhet. 7 Utvärdering av prestanda Utvärdering av prestanda (övervakning mätning, analys och utvärdering, internrevision, ledningens genomgång) Periodisk uppföljning och rapportering av hur säkerhetsarbetet fungerar i verksamheten med avseende på uppsatta mål, praktisk erfarenhet och efterlevnad utförs i huvudsak av universitetets säkerhetsavdelning. Analys och rapportering av följande statistik ska göras till universitetets säkerhetschef på regelbunden basis: Informationssäkerhetsincidenter Resultat av genomförda riskanalyser, Resultat av interna eller externa IT-revisioner Konsekvenser av eventuella förändringar i tillämpliga lagar, föreskrifter eller avtalsförpliktelser 7

8 8 Förbättringar Förbättringar (Avvikelse och korrigerande åtgärd, ständig förbättring) Ständiga förbättringar av LIS med avseende på funktionalitet och kvalitet uppnås genom korrigerande och förebyggande åtgärder information och utbildning omvärldsbevakning Förslag och prioriteringar av förbättringar i LIS ska ingå som en del av säkerhetschefens löpande planering och uppföljning av informationssäkerhetsarbetet samt utgöra underlag för den årliga verksamhetsplanen. För respektive e-område eller för ett enskilt informationssystem ska förslag och prioriteringar av förbättringsåtgärder ingå i det ordinarie förvaltningsarbetet samt utgöra underlag för den årliga förvaltningsplanen. Det årliga arbetet med riskhantering ur ett säkerhetsperspektiv i kärnverksamheten följs upp genom besök vid institutioner utifrån identifierade behov. 8